Adobe tung ra các bản vá mới cho lỗ hổng ColdFusion đang bị khai thác tích cực

www.tuoitre.vn -   25/07/2023 08:00:00 600

Adobe đã phát hành một đợt cập nhật mới để giải quyết một bản sửa lỗi chưa hoàn chỉnh cho lỗ hổng ColdFusion được tiết lộ gần đây đang bị khai thác tích cực trong tự nhiên.

Adobe tung ra các bản vá mới cho lỗ hổng ColdFusion đang bị khai thác tích cực

Thiếu sót nghiêm trọng, được theo dõi là CVE-2023-38205 (điểm CVSS: 7,5), được mô tả là một trường hợp kiểm soát truy cập không phù hợp có thể dẫn đến bỏ qua bảo mật. Nó tác động đến các phiên bản sau:

  • ColdFusion 2023 (Bản cập nhật 2 trở về trước)
  • ColdFusion 2021 (Bản cập nhật 8 trở về trước)
  • ColdFusion 2018 (Bản cập nhật 18 trở về trước)

“Adobe biết rằng CVE-2023-38205 đã bị khai thác trong tự nhiên trong các cuộc tấn công hạn chế nhắm vào Adobe ColdFusion,” công ty cho biết.

Bản cập nhật cũng giải quyết hai lỗ hổng khác, bao gồm một lỗi khử lưu huỳnh nghiêm trọng (CVE-2023-38204, điểm CVSS: 9,8) có thể dẫn đến thực thi mã từ xa và một lỗ hổng kiểm soát truy cập không đúng cách thứ hai cũng có thể mở đường cho việc vượt qua bảo mật ( CVE-2023-38206, điểm CVSS: 5,3).

Tiết lộ được đưa ra vài ngày sau khi Rapid7 cảnh báo rằng bản sửa lỗi được áp dụng cho CVE-2023-29298 chưa hoàn thiện và nó có thể bị các tác nhân độc hại vượt qua một cách tầm thường. Công ty an ninh mạng đã xác nhận rằng bản vá mới đã lấp đầy hoàn toàn lỗ hổng bảo mật.

CVE-2023-29298, một lỗ hổng bỏ qua kiểm soát truy cập, đã được vũ khí hóa trong các cuộc tấn công trong thế giới thực bằng cách xâu chuỗi lỗ hổng đó với một lỗ hổng khác bị nghi ngờ là CVE-2023-38203 để thả vỏ web vào các hệ thống bị xâm nhập để truy cập cửa sau.

Người dùng Adobe ColdFusion được khuyến nghị cập nhật cài đặt của họ lên phiên bản mới nhất để giảm thiểu các mối đe dọa tiềm ẩn.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 129
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 110
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 379
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...

Hơn 15.000 Bộ định tuyến Four-Faith bị k...

26/12/2024 08:00:00 42
Theo những phát hiện mới từ Chuyên gia bảo mật, một lỗ hổng nghiêm trọng ảnh hưởng đến một số bộ địn...

Bạn nghĩ sao nếu người dùng ảo là chatbo...

26/12/2024 12:00:00 35
Các chatbot AI đã trở nên rất giống con người trong vòng một năm qua, nghe có vẻ khó chấp nhận nhưng...

Các cuộc tấn công mạng “bẻ khóa” thông t...

25/12/2024 08:00:00 214
Công ty an ninh mạng toàn cầu Kaspersky cho biết đã ngăn chặn hơn 23 triệu cuộc tấn công bruteforce ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button